SecOps uzmanlık alanı oluşturma

Bu makale, güvenlik ve teknoloji ekiplerinin kuruluşların önleyici denetimleri atlayan etkin tehditleri algılamasına, araştırmasına ve yanıtlamasına yardımcı olan bir Güvenlik İşlemleri (SecOps) uzmanlık alanı oluşturmasına ve modernleştirmesine yardımcı olur.

Güvenlik disiplinleri , kuruluşların teknoloji varlıklarının tamamında tutarlı bir şekilde güvenlik sonuçları sağlamasına yardımcı olan ilgili güvenlik çalışmaları gruplandırmalardır. Güvenlik benimseme modeli kapsamında disiplinler, güvenlik yatırımlarının güvenlik benimseme modelinin bir parçası olarak gerçek ölçülebilir sonuçlara dönüşmesini sağlayarak iş senaryoları ile teknik uygulama arasında bir köprü sağlamaya yardımcı olur.

SecOps nedir?

SecOps, canlı saldırganlar saldırıda bulunurken sistemin güvenlik güvencelerini korur ve geri yükler. NIST Siber Güvenlik Çerçevesi Algılama, Yanıtlama ve İyi Kurtarma'nın SecOps işlevlerini açıklar.

  • Algıla - SecOps, sistemdeki saldırganların varlığını tespit etmelidir; çoğu durumda gizli kalmaları için sebepleri vardır, bu da onların hedeflerine sorunsuz bir şekilde ulaşmalarını sağlar. Bu, şüpheli etkinlik uyarısına tepki verme veya kurumsal etkinlik günlüklerindeki anormal olaylar için proaktif olarak avlanma biçimi alabilir.
  • Yanıt - Olası saldırgan eylemin veya kampanyanın algılanması üzerine SecOps'un bunun gerçek bir saldırı (gerçek pozitif) veya yanlış alarm (hatalı pozitif) olup olmadığını belirlemek için hızla araştırma yapması ve ardından saldırgan işlemin kapsamını ve hedefini listelemesi gerekir.
  • Kurtarma - SecOps'un nihai hedefi, bir saldırı sırasında ve sonrasında iş hizmetlerinin güvenlik güvencelerini (gizlilik, bütünlük, kullanılabilirlik) korumak veya geri yüklemektir.

Risk azaltma

Çoğu kuruluşun karşılaştığı en önemli güvenlik riski, insan saldırısı operatörleridir.

Önemli istisnalar dışında, çoğu kuruluş için otomatik/tekrarlanan saldırı riski, kötü amaçlı yazılımdan koruma için yerleşik imza ve makine öğrenmesi tabanlı yaklaşımlarla önemli ölçüde azaltılmıştır.

İnsan saldırı operatörlerinin uyarlanabilirliği nedeniyle karşılaşması zor olsa da, savunmacılar ile aynı "insan hızında" çalışıyor ve bu da oyun alanını dengelemeye yardımcı oluyor.

SecOps, bir saldırganın değerli sistemlere ve verilere ulaşabileceği süreyi ve erişimi sınırlamak için önemli bir role sahiptir. Bir saldırganın ortamda sahip olduğu her dakika, saldırı işlemlerini gerçekleştirmeye ve hassas veya değerli sistemlere erişmeye devam etmesine olanak tanır.

Neden bu disiplin?

Tüm saldırılar engellenemez. Çoğu saldırıyı engelleyen güçlü güvenlik mimarisi ve duruş yönetimiyle bile tehdit aktörleri bazen ortamlara ilk erişim elde eder.

SecOps, bu etkin saldırıları ve güvenlik olaylarını yönetmeye odaklanır ve saldırganların tehlikeye girdikten sonra neden olabileceği zararı sınırlar. Etkili SecOps şu şekilde riski azaltır:

  • Kötü amaçlı etkinlikleri hızla algılama.
  • Saldırganların bekleme süresini kısaltma.
  • Yanal hareketi ve etkiyi sınırlama.
  • Kurtarma ve kurumsal dayanıklılığı destekleme.

Güvenlik benimseme modelinde SecOps, güvenliğin ihlal sonrası reaktif yönünü temsil eder ve proaktif risk azaltma ile saldırıların önlenmesine odaklanan güvenlik duruşu yönetimini tamamlar.

Risk azaltmada tamamlayıcı rollerini gösteren Güvenlik İşlemleri ve Güvenlik Duruş Yönetimi diyagramı.

Etkili bir SecOps disiplini olmadan, erişim elde eden saldırganlar algılanmadan faaliyet gösterebilir, ayrıcalıklarını yükseltebilir, yatay hareket edebilir ve işletmeye azami zarar verebilir.

Görev ve sonuçlar

SecOps uzmanlık alanının misyonu, modern teknoloji varlıklarında tehditleri hızla algılayarak, araştırarak ve yanıtlayarak siber saldırıların iş etkisini sınırlamaktır.

Ekip boyutuna veya operasyon modeline bakılmaksızın olgun SecOps şu sonuçları verir:

  • Hızlı tehdit yanıtı – Kimlikler, uç noktalar, altyapı, uygulamalar ve veriler arasında tehditleri zamanında algılama ve kapsama
  • Paylaşılan tehdit bilgileri – Analistleri, otomasyonu ve aşağı akış güvenlik denetimlerini bilgilendiren merkezi sinyaller ve içgörüler
  • Proaktif tehdit bulma – Yeni gelişen teknikleri ve saldırgan davranışını ortaya çıkarmak için tehdit avcılığı ve saldırı simülasyonu

SecOps ekipleri tek bir bireyden 7/24 büyük ölçekte dağıtılmış işlemlere kadar değişebilir ve işlevler kısmen veya tamamen dış kaynaklı olabilir. Yapı ve boyut ne olursa olsun sonuçlar aynı kalır.

SecOps'ta Sıfır Güven'ı benimseyin

Güvenlik İşlemi (SecOps), Sıfır Güven stratejisinin temelini oluşturur. Sıfır Güven güvenliğin ihlal olduğunu varsayar ve denetimler başarısız olduğunda etkiyi en aza indirmeye odaklanır. SecOps, ortam genelindeki tehditleri sürekli algılayarak, araştırarak ve yanıtlayarak bu varsayımı eyleme dönüştürür.

Sıfır Güven modelinde önleme tek başına yetersizdir. Kuruluşlar, saldırganların kontrolleri aşmasını beklemeli ve kötü amaçlı etkinlikleri erken tespit etmek, saldırıları hızla kontrol altına almak ve zaman içinde güvenlik duruşlarını iyileştirecek içgörüler üretmek için SecOps’a güvenmelidir.

Güvenlik benimseme modelimizde SecOps kılavuzu, izleme, algılama, araştırma, yanıt, otomasyon ve sürekli öğrenme dahil olmak üzere kuruluş genelinde Sıfır Güven desteklemek için gereken operasyonel özelliklere odaklanır.

  • Algılama ve görünürlüğü merkezileştirme: Kimlikler, uç noktalar, uygulamalar ve altyapı dahil olmak üzere ortam genelindeki günlükleri ve telemetri verilerini merkezi bir algılama ve araştırma özelliğiyle tümleştirin. Bu, Güvenliğin aşılmasını erken algılamak ve saldırgan davranışını anlamak için SecOps'un tutarlı, etki alanları arası görünürlüğe sahip olmasını sağlar.
  • Yanıtı ve kapsamayı otomatikleştirme: Güvenliği aşılmış cihazları yalıtma veya riskli hesapları devre dışı bırakma gibi yinelenebilir yanıt eylemleri yürütmek için düzenleme ve otomasyon kullanın. Otomasyon yanıt süresini azaltır, analist bilişsel yükünü azaltır ve baskı altında tutarlı yürütme sağlar.
  • Tehditleri proaktif olarak avlama: Tehdit avcılığı için temel bir SecOps özelliği olarak davranın. Otomatik algılamalardan kaçınan, bekleme süresini kısaltan ve denetimlerdeki boşlukları ortaya çıkaran saldırgan etkinliğini bulmak için hipotez temelli avcılık ve gelişmiş analiz kullanın.
  • Uyarıları ve olayları etkili bir şekilde yönetin: Gürültüyü azaltmak ve analistlerin anlamlı uyarılara odaklanmasını sağlamak için algılamaları ayarlayın. Olayların tutarlı ve verimli bir şekilde işlenmesi için playbook'ları kullanarak araştırma ve yanıt iş akışlarını standart hale getirin.
  • Risk temelinde maruz kalma süresini sürekli azaltma: Güvenliğin aşılmasına olanak tanıyabilecek koşulları belirlemek için saldırı yolu analizi ve maruz kalma içgörülerini kullanın. İş etkisine ve olasılığına göre düzeltmeye öncelik verebileceğinden, çaba en önemli olduğu yere odaklanır.
  • SecOps süreçlerini sürekli geliştirin: Gerçek olaylara ve tehdit bilgilerine göre algılamaları, playbook'ları ve yanıt sonuçlarını düzenli olarak gözden geçirin. Saldırganlar, teknolojiler ve iş öncelikleri değiştikçe özelliklerin uyarlanmasını sağlamak için bu öğrenmeleri SecOps stratejisine geri aktar.

Kuruluşlar, SecOps'ı Sıfır Güven ilkelerle uyumlu hale getirmek suretiyle reaktif olay işlemeden her olayın kuruluş genelinde algılamayı, yanıtı ve önlemeyi güçlendirdiği dayanıklı bir işletim modeline geçer.

Bu disiplin nasıl uygulanır?

SecOps uzmanlık dalını etkili bir şekilde uygulamak için kuruluş genelindeki tehditleri algılama, yanıtlama ve kurtarma konusunda eşgüdümlü bir yaklaşım oluşturmaya odaklanın:

  1. İş riskine uygun bir tehdit algılama ve yanıt stratejisi tanımlama
    Olası iş etkilerine göre tehditleri belirlemek, önceliklendirmek ve yanıtlamak için net bir yaklaşım oluşturun.
  2. Ortam genelinde tutarlı algılama ve yanıt sağlama
    Kimlikler, cihazlar, uygulamalar ve altyapı genelinde izleme, araştırma ve yanıt için birleşik bir yaklaşım uygulayın.
  3. Algılama, yanıt ve kurtarma için süreçleri standartlaştırma
    Olayların tutarlı bir şekilde ele alındığından emin olmak için net rehberlik sağlayarak yanıt süresini kısaltın ve etkiyi sınırlayın.
  4. SecOps'ı iş öncelikleri ve kritik senaryolarla uyumlu hale getirme
    Kritik varlıkları korumaya ve güvenlik olaylarının etkisini en aza indirmeye odaklanmak için algılama ve yanıt çalışmalarının önceliğini belirleyin.
  5. İçgörüler ve geri bildirimler aracılığıyla sürekli iyileştirme
    Algılama özelliklerini güçlendirmek ve zaman içinde yanıtı geliştirmek için olaylar, tehdit bilgileri ve operasyonel ölçümlerden elde edinen öğrenmeleri kullanın.

Değişikliği yönetme

SecOps modernizasyonu, tek seferlik bir araç dağıtımı değil, sürekli bir geliştirme yolculuğudur. Amaç, güvenlik ihlalleri oluştuğunda kuruluşun saldırgan etkisini azaltma becerisini sürekli geliştirmektir.

Önemli eylemlerin ve Sıfır Güven hizalamanın vurgulandığı güvenlik operasyonları görev özetinin ekran görüntüsü.

Sıfır Güven ilkeleriyle uyumlu modern bir SecOps yaklaşımı vurgulanır:

  • Görev uyumluluğu - Uyarılar ve tehditler yapay zeka da dahil olmak üzere insanlarla ve otomasyonla yanıt verme kapasitenizi aştığında işletme için en önemli konulara öncelik verme.
  • Sürekli öğrenme - Tehdit aktörleri, platformlar ve iş öncelikleri değiştikçe algılamaları, becerileri ve süreçleri uyarlama.
  • İşbirliği ve paylaşım - SecOps'a güvenlik, BT operasyonları, mühendislik, hukuk, iletişim ve liderlik genelinde bir ekip çalışması olarak davranma.

Tehdit aktörleri başarısız olana kadar ucuz, etkili ve güvenilir teknikleri yeniden kullanma eğilimindedir, bu nedenle tehdit bilgilerini geçmiş saldırılarla ilgili içgörüler olarak yakalamak ve paylaşmak kritik önem taşır. SecOps tehdit bilgileri, iş ve uyumluluk gereksinimlerinin yanı sıra güvenlik denetimi tasarımını, öncelik belirlemeyi ve duruş geliştirmeyi doğrudan bilgilendirmelidir.

Disiplin rolleri ve iş ortakları

SecOps uzmanlık alanı genellikle özel bir SecOps ekibi tarafından yönetilir. Daha küçük kuruluşlarda SecOps sorumlulukları yarı zamanlı olabilir veya roller arasında paylaşılabilir ancak yine de net sahiplik gerektirir.

Bu disiplindeki birincil roller genellikle şunları içerir:

  • SecOps / SOC yöneticisi
  • Katman 1 önceliklendirme analistleri
  • Katman 2 araştırma analistleri
  • Tehdit avcıları (Katman 3)
  • Algılama mühendisleri
  • SecOps platformu ve veri mühendisleri
  • Dijital adli tıp ve olay yanıtı uzmanları
  • Tehdit bilgileri analistleri
  • Olay koordinasyonu ve yönetim rolleri
  • Saldırı simülasyonu uzmanları (kırmızı takım, mor takım, sızma testi)

Önemli ortak çalışanlar şunlardır:

  • Mühendislik ve operasyon ekipleri – Tasarlayıp işlettikleri sistemlerde günlük kaydının tutulmasını ve inceleme, sınırlandırma ve kurtarma çalışmalarının yürütülmesini sağlar.
  • Mimari rolleri – SecOps tehdit zekasından alınan olay öğrenmelerine göre sistemlerin ve denetimlerin tasarımını sürekli geliştirin.
  • Uygulama ve ürün ekipleri – Olay içgörülerine yanıt olarak yazılım ve hizmetleri güncelleştirin.
  • Güvenlik Stratejisi, Tümleştirme ve İdare uzmanlık alanı – SecOps yatırımları için öncelikleri, ölçümleri ve sorumlulukları ayarlayın. Büyük olaylar sırasında destek ve koordinasyon sağlayın.

Etkili SecOps, olay yanıtı ve sistem tasarımı arasındaki sıkı geri bildirim döngülerine bağlıdır.

Diğer disiplinlerle uyum

SecOps daha geniş bir güvenlik çalışma modelinin parçası olarak çalışır ve diğer disiplinlerle sıkı bir şekilde tümleştirilir:

  • Güvenlik Duruşu Yönetimi uzmanlık alanı: Olayları önlemeye odaklanır; SecOps, hala gerçekleşen olayları yönetir.
  • Erişim ve Kimlikler uzmanlık alanı: Kimlik telemetrisi birincil algılama ve araştırma sinyalidir.
  • Veri Güvenliği uzmanlık alanı: SecOps, veri hırsızlığı, haraç, içeriden risk ve gizlilik olaylarını araştırır.
  • Güvenlik Mimarisi uzmanlık alanı: Algılama ve yanıt mekanizmalarının hedeflenen sistem tasarımıyla uyumlu olmasını sağlar.
  • Strateji, Tümleştirme ve İdare uzmanlık alanı: SecOps önceliklerini, ölçümlerini ve başarı ölçütlerini tanımlar.

Teknoloji sütunlarıyla hizalama

SecOps uzmanlık alanı tüm teknoloji yapılarında çalışır ve nerede olursa olsun saldırıları algılamalı ve içermelidir.

  • Kimlikler: Kimlikler birincil saldırı giriş noktaları olduğundan bu SecOps için en yüksek önceliktir. Neredeyse tüm çok aşamalı saldırılar, daha fazla kurumsal varlığa erişmek ve bu varlıklar arasında yanal hareket etmek için, genellikle BT yöneticileriyle veya yönetimsel hizmet hesaplarıyla ilişkili ayrıcalıklı hesapları kullanarak kimlik saldırılarına (pass-the-hash/pass-the-ticket/vb.) dayanır.
  • Uç noktalar: Uç noktalar ortak dayanaklar, bir işlem tabanı ve saldırganlar için yerel saldırı aracı depolama alanıdır. Zararı sınırlamak ve saldırganların amaçları ile yeteneklerine ilişkin içgörü elde etmek için ele geçirilmiş uç noktaları hızlıca tespit etmek kritiktir.
  • Altyapı: Tehdit aktörleri genellikle ihlal edildiğinde geniş kapsamlı güvenliğin aşılmasına olanak tanıyan yüksek değerli bulut ve şirket içi altyapı varlıklarını hedeflediğinden etkili algılama ve yanıt önemlidir.
  • Uygulamalar: E-posta, işbirliği, iş kolu ve diğer uygulamalara yönelik saldırıları hızla algılama ve bunlara yanıt verme kritik önem taşır çünkü saldırganlar genellikle kuruluşa girmek ve iş varlıklarına erişmek için bunları geçebilmek için kullanır.
  • Veri: Saldırganlar genellikle verileri fikri mülkiyet hırsızlığı, haraç veya fidye yazılımlarından yararlanmak için şifreleme, gelecekteki saldırıları planlama ve diğer amaçlar için hedefler. Ayrıca SecOps gizlilik, içeriden risk ve diğer kişilerle ilgili verilerle ilgili araştırmalara dahil olabilir veya bu araştırmalarda işbirliği yapabilir.
  • : Yasal iletişimler gibi tehdit aktörü iletişimleri ve saldırı operasyonları da ağ bağlantıları üzerinden hareket eder. SecOps ağ sensörüne odaklanır ve şifreleme görünürlüğü azaltsa bile bağlam ve kapsama için veriler hala değerlidir.
  • Yapay zeka: Yapay zeka bir saldırı yüzeyi olarak ortaya çıktıkçe etkili algılama ve araştırma için yeni araçlara ve becerilere ihtiyaç duyulmaktadır. Tehdit aktörleri yapay zeka teknolojisini benimsedikçe yapay zeka saldırı hacmi artıyor. SecOps ayrıca analiz ve diğer işlemleri otomatikleştirmek için yapay zekadan da yararlanabilir.

Sonraki Adımlar

Microsoft Unified, kuruluşların Güvenlik Duruş Yönetimi stratejisi, mimarisi ve teknolojisini modernleştirmesini hızlandırmalarına yardımcı olmak için uzman liderliğinde atölyeler sunar. Bu atölyeler şunlardır:

  • Mimari ve strateji atölyeleri - Güvenlik Benimseme Çerçevesi (SAF) -Architecture Tasarım Oturumu: Modern Güvenlik İşlemleri atölyesi SecOps modernleştirmesini hızlandırmaya odaklanır. Bu atölye aşağıdaki gibi kullanılabilir:

    • Konu Özeti - Önemli öğrenmelere ve en iyi yöntemlere odaklanan dört saatten kısa bir tartışma.
    • Full Güvenlik Mimarisi Tasarım Oturumu (Güvenlik ADS) - Ek ayrıntılar, Microsoft örnek olay incelemesi, olgunluk modeli tartışmaları ve referans modernleştirme planları sağlayan iki günlük bir atölye.

  • Teknoloji benimseme atölyeleri - Microsoft Unified, kuruluşların SecOps hakkında bilgi edinmelerine, planlamalarına, uygulamalarına ve iyileştirmelerine yardımcı olacak atölyelere sahiptir.

Güvenlik teknolojilerini öğrenme, planlama ve uygulama aşamalarını gösteren Microsoft Birleşik SecOps atölyelerinin diyagramları.

Microsoft liderliğindeki atölyeler hakkında daha fazla bilgi için müşteri başarısı hesap yöneticinize başvurun.

  • Last updated on